데이터 정규화 이해
Microsoft Sentinel은 많은 원본에서 데이터를 수집합니다. 다양한 데이터 형식과 테이블을 함께 사용하려면 각 데이터 형식을 이해하고 각 형식 또는 스키마의 분석 규칙, 통합 문서, 헌팅 쿼리 등에 관한 고유한 데이터 세트를 작성하고 사용해야 합니다.
경우에 따라 데이터 형식이 방화벽 디바이스와 같은 공통 요소를 공유하는 경우에도 별도의 규칙, 통합 문서, 쿼리가 필요합니다. 조사 및 헌팅 중에 다양한 데이터 형식 간에 상관 관계를 지정하는 것은 어려울 수도 있습니다.
ASIM(고급 보안 정보 모델)은 다양한 원본과 사용자 사이에 있는 계층입니다. ASIM은 견고성 원칙: “보내는 것에 엄격하고 받아들이는 것에 유연하라”를 따릅니다. 견고성 원칙을 디자인 패턴으로 사용하는 경우 ASIM은 Microsoft Sentinel의 일관되지 않고 사용하기 어려운 원본 원격 분석을 사용자에게 친숙한 데이터로 변환합니다.
일반적인 ASIM 사용
ASIM은 다음 기능을 제공하여 균일하고 정규화된 뷰에서 다양한 원본을 처리할 수 있는 원활한 환경을 제공합니다.
원본 간 검색. 정규화된 분석 규칙은 원본, 온-프레미스, 클라우드에서 작동하며 무차별 암호 대입(brute force)과 같은 공격이나 OKTA, AWS, Azure를 비롯한 시스템 간 불가능한 이동을 탐지합니다.
원본 중립적 콘텐츠. ASIM을 사용하는 기본 제공 및 사용자 지정 콘텐츠의 적용 범위는 콘텐츠가 생성된 후 원본이 추가된 경우에도 ASIM을 지원하는 모든 원본으로 자동으로 확장됩니다. 예를 들어, 프로세스 이벤트 분석은 엔드포인트용 Microsoft Defender, Windows 이벤트, Sysmon과 같이 고객이 데이터를 가져오는 데 사용할 수 있는 모든 원본을 지원합니다.
기본 제공 분석에서 사용자 지정 원본에 대한 지원
사용 편의성 분석가가 ASIM을 알게 된 후에는 필드 이름이 항상 동일하기 때문에 쿼리 작성이 더 간단합니다.
ASIM 및 오픈 소스 보안 이벤트 메타데이터
ASIM은 OSSEM(오픈 소스 보안 이벤트 메타데이터) 일반 정보 모델과 일치하여 정규화된 테이블에서 예측 가능한 엔터티 상관 관계를 허용합니다.
OSSEM은 다양한 데이터 원본 및 운영 체제에서 보안 이벤트 로그의 설명서 및 표준화에 주로 중점을 둔 커뮤니티 주도 프로젝트입니다. 또한 이 프로젝트는 보안 분석가가 다양한 데이터 원본에서 데이터를 쿼리하고 분석할 수 있도록 데이터 정규화 절차 중에 데이터 엔지니어에게 사용할 수 있는 CIM(Common Information Model)을 제공합니다.
ASIM 구성 요소
다음 이미지는 정규화되지 않은 데이터를 정규화된 콘텐츠로 변환하고 Microsoft Sentinel에서 사용할 수 있는 방법을 보여 줍니다. 예를 들어, 사용자 지정 제품별 정규화가 아닌 테이블로 시작하고 파서와 정규화 스키마를 사용하여 해당 테이블을 정규화된 데이터로 변환할 수 있습니다. Microsoft 및 사용자 지정 분석, 규칙, 통합 문서, 쿼리 등에서 둘 다 정규화된 데이터를 사용합니다.
ASIM에는 다음 구성 요소가 포함되어 있습니다.
| 구성 요소 | Description |
|---|---|
| 정규화된 스키마 | 통합 기능을 빌드할 때 사용할 수 있는 예측 가능한 이벤트 유형의 표준 세트를 포함합니다. 각 스키마는 이벤트, 정규화된 열 명명 규칙, 필드 값의 표준 형식을 나타내는 필드를 정의합니다. |
| 파서 | KQL 함수를 사용하여 기존 데이터를 정규화된 스키마에 매핑합니다. Microsoft Sentinel에서 많은 ASIM 파서를 기본적으로 사용할 수 있습니다. 더 많은 파서 및 수정 가능한 기본 제공 파서 버전은 Microsoft Sentinel GitHub 리포지토리에서 배포할 수 있습니다. |
| 각 정규화된 스키마의 콘텐츠 | 분석 규칙, 통합 문서, 헌팅 쿼리 등이 포함됩니다. 각 정규화된 스키마의 콘텐츠는 원본별 콘텐츠를 만들지 않고도 모든 정규화된 데이터에서 작동합니다. |
ASIM 용어
ASIM은 다음 용어를 사용합니다.
| 용어 | Description |
|---|---|
| 보고 디바이스 | Microsoft Sentinel에 레코드를 보내는 시스템입니다. 이 시스템은 전송되는 레코드의 주체 시스템이 아닐 수 있습니다. |
| 레코드 | 보고 디바이스에서 전송되는 데이터의 단위입니다. 레코드는 로그, 이벤트 또는 경고라고 하는 경우도 많지만, 다른 데이터 유형이 될 수도 있습니다. |
| 콘텐츠 또는 콘텐츠 항목 | Microsoft Sentinel에서 사용할 수 있는 다른 사용자 지정 가능한 아티팩트 또는 사용자가 만든 아티팩트입니다. 해당 아티팩트에는 분석 규칙, 헌팅 쿼리, 통합 문서 등이 포함됩니다. 콘텐츠 항목은 이러한 아티팩트 중 하나입니다. |
ASIM 파서 보기
Microsoft Sentinel 환경에서 ASIM 함수를 보려면
- Azure Portal에서 Microsoft Sentinel 작업 영역으로 이동합니다.
- 왼쪽 탐색에서 로그 선택
- 왼쪽에서 스키마 및 필터 창을 확장합니다(필요한 경우 줄임표를 사용하여 모든 도구 표시)
- 함수 선택
- Microsoft Sentinel 확장
ASim 및 Im으로 시작하는 함수가 표시됩니다.